Skip to Main Content

Was ist DO-178C?

Der DO-178C/ED-12C-Standard, Software Considerations in Airborne Systems and Equipment Certification, ist der Referenzstandard für die Entwicklung sicherheitskritischer Software, die in kommerziellen Flugzeugen verwendet wird. Luftfahrt-Zertifizierungsbehörden wie die Federal Aviation Administration (FAA), die European Union Aviation Safety Agency (EASA), Transports Canada und die Civil Aviation Administration of China (CAAC) verwenden das Dokument als akzeptable Möglichkeit, die Vorschriften für kommerzielle Luftfahrtsysteme auf Software-Basis einzuhalten. Hersteller können sicherheitskritische Software unter Verwendung des Standards DO-178C entwickeln, in dem Wissen, dass der daraus resultierende Code den entsprechenden Luftfahrtvorschriften entspricht.

Militärische Sicherheitsvorschriften haben die Konsistenz und Reife der zivilen Vorschriften noch nicht erreicht. Teams können jedoch DO-178C als Referenzstandard für die Entwicklung sicherheitskritischer Software für Verteidigungsanwendungen verwenden. Obwohl jede Militärbehörde ihre eigenen Vorschriften festlegt, verlangt eine wachsende Zahl von Behörden die Einhaltung der DO-178C-Vorschriften für kritische Systeme, die in Militärflugzeugen verwendet werden.

Der DO-178C-Standard wurde gemeinsam von RTCA Special Committee #205 (SC-205) und EUROCAE Working Group #71 (WG-17) mit mehreren Zielen entwickelt, einschließlich Aktualisierung, Klärung und Korrektur des vorherigen Standards, DO-178B. Die RTCA, früher Funkkommission für Aeronautik genannt, identifiziert den Standard als DO-178C, und EUROCAE verwendet die ED-12C-Kennzeichnung. In DO-178C werden Prozessstandards aufgeführt, die den gesamten Lebenszyklus der Softwareentwicklung abdecken – Softwareentwicklung, Verifizierung, Konfigurationsmanagement und Qualitätssicherung.

Der Standard ist zielorientiert und empfiehlt keine spezifischen Methoden zur Erreichung der Ziele. Dieser zielorientierte Ansatz ermöglicht es jedem Team, für jedes System, für das es verantwortlich ist, eine flexible Implementierung zu erstellen. So unterscheidet sich beispielsweise die Software für die Avionik grundlegend von der Software für die Motorsteuerung und erfordert einen anderen Ansatz für die Softwareentwicklung und -verifizierung, was unter DO-178C zulässig ist.

Die Norm bietet folgende Richtlinien:

  • Legt Ziele für Software-Lebenszyklus-Prozesse fest.
  • Beschreibt die Aktivitäten, die zur Erreichung dieser Ziele durchzuführen sind.
  • Beschreibt die Arbeitsprodukte, die erforderlich sind, um zu beweisen, dass ein Ziel erfüllt ist.

Der DO178C-Prozess besteht aus drei miteinander verbundenen Bereichen: Planung, Entwicklung und integrale Prozesse. Der integrale Prozess umfasst Prozesse zur Verifizierung und Validierung, zur Qualitätssicherung, zum Konfigurationsmanagement und zur Zertifizierungsstelle. 

Development Assurance Level (DAL) und Ziele

Die Norm für die Systeme, zu denen die Software beiträgt (ARP4754A und neuerdings ARP4754B, Richtlinien für die Entwicklung von zivilen Luftfahrzeugen und Systemen), enthält Leitlinien zur Bestimmung der für die Software geltenden Entwicklungssicherheitsstufe. DALs können auch als Item Development Assurance Level (IDALs), Designprüfungsstufen oder einfach als die Softwarestufe bezeichnet werden.

DO-178C legt dann die Ziele für jedes DAL fest und welche Ziele mit Unabhängigkeit erfüllt werden sollen. Ziele mit Unabhängigkeit sind Verifizierungen, die von einer Person durchgeführt werden müssen, die den zu prüfenden Artikel nicht hergestellt hat. Stufe E hat keine Ziele und Stufe A hat die meisten Ziele, da sie sich mit Fehlerbedingungen befasst, die zu Flugzeugverlust und Todesfällen führen. 

Development Assurance Level (DAL)

Fehlerbedingung

Anzahl der Ziele

Anzahl der Ziele ohne Abhängigkeiten.

A

Katastrophaler Flugzeugfehler – potenziell tödliche Verletzungen und Verlust der Flugfähigkeit des Flugzeugs

71

30

B

Gefährliche oder schwere Fehler – mehrere Verletzungen oder Todesfälle möglich, erhebliche Auswirkungen auf die Besatzung oder die Leistung des Flugzeugs

69

18

C

Schwerwiegender Fehler – Unbehagen der Passagiere oder leichte Verletzungen, erhebliche Maßnahmen seitens der Besatzung notwendig und geringere Sicherheitsmargen

62

5

D

Geringer Fehler – Sicherheitsmargen leicht reduziert, Arbeitsbelastung der Besatzung leicht erhöht, leichtes Unbehagen der Passagiere, einschließlich Flugplanänderung

26

2

E

Keine Sicherheitsauswirkung – keine Auswirkungen auf den Flugzeugbetrieb, die Sicherheit oder die Arbeitsbelastung der Besatzung

0

0

DO-178C Dokumentenstruktur

Der Teil des DO-178C-Dokuments zur Softwareentwicklung besteht aus einem Kerndokument, drei ergänzenden Dokumenten und zwei zugehörigen Standards, wie in der folgenden Abbildung dargestellt. Die drei Ergänzungen enthalten zusätzliche Richtlinien, die auf spezifische Verfahren zugeschnitten sind, die von den Software-Entwicklungsteams verwendet werden.

DO 178C document structure

DO-178C Dokumentenstruktur

DO-331: Ergänzung zu Model-Based Development and Verification (MBDV)

Die DO-331-Ergänzung bietet zusätzliche Richtlinien für Teams, die eine modellbasierte Technik für die Softwareentwicklung und -verifizierung verwenden.

DO-332: Ergänzung zu Object-oriented Technology and Related Techniques (OOT/RT)

Die DO-332-Ergänzung ist anwendbar, wenn das Team objektorientierte Programmierverfahren in seinem Software-Entwicklungslebenszyklus einsetzt.

DO-333: Ergänzung zu Formal Methods (FM)

Die DO-333-Ergänzung gilt, wenn ein Team formale Methoden im Lebenszyklus der Softwareentwicklung einsetzt. Formale Methoden sind Verfahren, die für die Spezifikation, Entwicklung und Verifizierung von Software verwendet werden und auf mathematischen Verfahren basieren.

Jede Ergänzung hat dieselbe Struktur wie das Kerndokument (d. h. die Abschnittsüberschriften sind identisch). Für jeden unveränderten Abschnitt gibt die Ergänzung explizit an, dass es keine Änderung gibt, und das Kerndokument wird nicht wiederholt. Andererseits werden in jeder Ergänzung die Zusätze, Änderungen und Ersetzungen von DO-178C für ein bestimmtes Verfahren angegeben.

Zwei weitere Dokumente können im Rahmen der DO-178C für die Softwareentwicklung berücksichtigt werden:

DO-330: Überlegungen zur Qualifizierung von Softwaretools

DO-330 ist ein eigenständiges Dokument, in dem die Prozesse für die Tool-Qualifizierung sowohl für Benutzer*innen als auch für Entwickler*innen von Tools definiert werden. Sie gilt nicht als Ergänzung zu DO-178C.

DO-248C: Unterstützende Informationen für DO-178C

DO-248C befasst sich mit den Fragen der Branche und der Aufsichtsbehörden. Das Dokument enthält häufig gestellte Fragen, Diskussionsunterlagen und Begründungen.

DO-178C Lebenszyklus-Prozesse

DO-178C ist in eine Hierarchie von „Prozessen“ strukturiert, wie in der folgenden Abbildung dargestellt. DO-178C definiert drei übergeordnete Prozessgruppen:

  • Der Software-Planungsprozess definiert und koordiniert die Aktivitäten der Softwareentwicklung und der integralen Prozesse für ein Projekt.
  • Die Softwareentwicklungsprozesse produzieren das Softwareprodukt.
  • Die integralen Prozesse gewährleisten die Richtigkeit, Kontrolle und Zuverlässigkeit der Software-Lebenszyklus-Prozesse und ihrer Ausgaben. Die integralen Prozesse sind:
    • Software-Verifizierung
    • Software-Konfigurationsmanagement
    • Software-Qualitätssicherung
    • Software-Verbindung

Die integralen Prozesse werden parallel zu den Software-Entwicklungsprozessen und dem Planungsprozess während des gesamten Software-Lebenszyklus ausgeführt.

DO 178C life cycle processes structure

DO-178C Struktur der Lebenszyklus-Prozesse

Verbesserung des Entwicklungs- und Überprüfungsprozesses durch modellbasierte Entwicklung und Simulation

Modellbasierte Verfahren für Entwicklung und Verifizierung sind bei systemkritischer Software immer beliebter geworden, da sie eine effiziente und produktive Möglichkeit bieten, Software zu spezifizieren, zu erstellen, zu validieren und zu verifizieren. Im ergänzenden Dokument DO-331 sind die abgedeckten Modelle mit den folgenden Eigenschaften definiert:

  • Ein Modell, das mit einer explizit definierten grafischen oder textlichen Modellierungsnotation vollständig beschrieben wird.
  • Ein Modell, das Software-Anforderungen oder Definitionen der Softwarearchitektur enthält.
  • Ein Modell, das für die direkte Analyse oder Verhaltensbewertung verwendet wird, die durch den Software-Entwicklungsprozess oder den Software-Überprüfungsprozess unterstützt wird.

Modellbasierte Entwicklungs- und verifizierungs-Tools wie die Ansys SCADE-Produktfamilie können die Effizienz und Qualität der Software erheblich verbessern, indem Software entwickelt wird, die die DO-178C/DO-331-Ziele erfüllt, und gleichzeitig eine Dokumentation bereitgestellt wird, die den Zertifizierungsprozess beschleunigt.

Techniker*innen können die DO-178C-Zertifizierung ihrer kritischen integrierten Software mit den folgenden SCADE-Produkten unterstützen:

  • ANSYS SCADE Architect-Software für die Entwicklung der Software-Architektur in Abstimmung mit dem Software-Design.
  • ANSYS SCADE Suite-Software, ein modellbasierter Design-Editor für die Entwicklung eingebetteter Software-Anwendungen und die automatische Generierung von sicherem Code.
  • ANSYS SCADE Display-Software für die Entwicklung von eingebetteten Displays, insbesondere für Bordsysteme, und die Ermöglichung automatischer Generierung von sicherem Code.
  • ANSYS SCADE Test-Software (einschließlich SCADE-Modellabdeckung) für die dynamische Verifizierung von SCADE-Modellen und die Analyse der Modellabdeckung.
  • ANSYS SCADE Lifecycle-Software für das Nachverfolgungsmanagement und die automatische Dokumentationserstellung.

Zugehörige Ressourcen

Verbesserte Produktivität mit dem DO-178C-Verifizierungs-Workflow

Probleme mit langwierigen Verifizierungs- und Validierungsprozessen (V&V) für sicherheitskritische Systeme? Melden Sie sich für unser Webinar an und entdecken Sie einen bahnbrechenden Ansatz, der Ihre Arbeitsbelastung verringert und gleichzeitig die höchsten Sicherheitsstandards erfüllt.

Effiziente Entwicklung sicherer Avionik-Software mit DO-178C-Zielen unter Verwendung der SCADE Suite

Dieses Dokument enthält eine sorgfältige Erläuterung des DO-178C-konformen Software-Lebenszyklus, wie in den Richtlinien DO-178C und DO-331 beschrieben.

Entwicklung von DO-178C-konformer Software mit Ansys SCADE.

In diesem Webinar wird erläutert, wie die SCADE-Lösungen von Ansys für die modellbasierte Entwicklung von Steuerungs- und Cockpit-Displays, die Erstellung zertifizierbarer automatischer Codes, Tests und Verifizierungen sowie für Zertifizierung und Dokumentation eingesetzt werden.